Bedrohungsmodelle und Sicherheitsanforderungen bei verschlüsselten Filesystemen

Wer Festplattenverschlüsselung entwickelt oder nutzt, sollte sich über das Bedrohungsmodell klar sein. Üblicherweise verteidigt er sich gegen den Diebstahl der Daten einschließlich des Mediums, auf dem sie liegen. Bei Laptops, PDAs, CDs und Memorysticks ist das recht wahrscheinlich. Bei Desktop-PCs muss der Dieb zusätzlich in eine Wohnung oder ein Büro einbrechen, was zwar seltener passiert, aber ebenfalls eine reale Bedrohung darstellt.

Neben dem Klauen ist es auch möglich, dass der Angreifer nur Änderungen an den verschlüsselten Daten beobachtet und daraus Rückschlüsse zieht, was sich am Klartext geändert hat. Anderen Gegnern gelingt es, zu bestimmen, welche Daten der Laptop auf die Platte schreibt, etwa indem sie eine Webseite präparieren, die der Browser in seinem Cache ablegt. Ganz fähige Angreifer kombinieren beides und sehen bei aktivierter Verschlüsselung zu, was aus ihrem eingeschmuggelten Klartext wie und wo auf der Platte ankommt.

Letztere Angriffe sind recht unwahrscheinlich. Der Datendieb muss sein Opfer gezielt auswählen und umfassenden physischen Zugriff auf den PC erhalten oder eine ausgeklügelte Fernsteuersoftware nutzen, die ihm vergleichbare Kontrolle verleiht. Wenn das Bedrohungsmodell sagt, dass der Gegner jede Nacht in die Wohnung eindringt und Änderungen auf der Festplatte analysiert, braucht das Opfer vermutlich mehr Hilfe als jede Festplattenverschlüsselung bieten könnte.

Men in Black

Die Bodrohungsmodelle teilen sich in zwei Kategorien: Das Standardmodell konzentriert sich auf Mediendiebstahl, während das MIB-Modell (Men in Black, in Anspielung an den gleichnamigen Film) besagt, dass die Angreifer tagtäglich in das Haus einbrechen. Das MIB-Modell ist allein schon unrealistisch, weil jeder Dieb bei so viel Kontrolle über den PC die Daten auch einfach abfangen könnte, bevor das Crypto-Filesystem sie auf die Platte schreibt. Oder er stiehlt das Passwort mit einem Keylogger, oder er manipuliert die Crypto-Software oder nutzt einen von tausenden einfacherer Angriffe. Die Literatur hält genügt Beispiele dafür bereit [1].

Das MIB-Modell ist vor allem für Kryptologen interessant, die viele coole und interessante Gegenmaßnahmen entwerfen. Manche davon sind reiner Selbstzweck, der bestenfalls eine Publikation rechtfertigt. Einen guten Überblick gibt [2].

Folgen der Bedrohungsmodelle

Der verbreitete CBC-Verschlüsselungsmodus (Cipher Block Chaining) hat die nützliche Eigenschaft, dass er sich nach einem Lesefehler schnell fängt und den übernächsten Block bereits wieder korrekt dechiffriert. Das können Angreifer im MIB-Modell nutzen und Blöcke verschieben oder hin und her kopieren. An den neuen Blockgrenzen entsteht zwar Datenmüll, die restlichen Daten bleiben aber intakt, egal von welcher Stelle des Filesystems sie stammen.

Kryptologen nennen den Schutz gegen solche Manipulationen Non-Malleability. Er ist zum Beispiel mit Crypto-Prüfsummen erreichbar (MAC, Message Authentication Code), die jede Manipulation an den verschlüsselten Daten entlarven. Leider muss das Dateisystem bei jeder Änderung in einem Sektor den MAC neu berechnen und abspeichern. Das verdoppelt die Anzahl der Festplattenzugriffe beim Schreiben. Verzögertes (lazy) Berechnen des MAC schafft zwar Linderung, dennoch bleibt ein gravierender Performance-Nachteil.

Alternativ chiffriert die Verschlüsselungsfunktion einen kompletten Datenbereich (etwa einen Festplattensektor) in einem Rutsch. Ändert sich ein einzelnes Bit des Chiffrats, entsteht beim Entschlüsseln des Sektors nur Datenmüll. Genau dies erreichen so genannte justierbare Blockchiffren. Sie nehmen eine Blockchiffre wie AES, die 16 Byte als Eingabe erwartet, und blasen sie auf eine neue Transformation auf, die 512 Byte in einem Rutsch verschlüsselt [3].

Leider chiffrieren die Verfahren rechenzeitintensiv jeden 16-Byte-Block zweimal. Zudem sind sie patentiert, was praktisch bedeutet, dass niemand sie einsetzen will. Und: Jeder simple Bitfehler auf der Festplatte zerstört den Inhalt eines ganzen Sektors, ohne die Chance, einen Teil der Daten zu retten.

Als Mittelweg zwischen CBC und sektorweit justierbaren Blockchiffren eignen sich Narrow-Block-Chiffren. Sie beheben das Copy&Paste-Problem von CBC, doch wirkt sich eine Manipulation an einem verschlüsselten Block nur auf einen einzelnen Klartextblock aus und nicht auf den kompletten Sektor. Da es weder doppelte Verschlüsselung verlangt noch unter Patenten leidet, ist dieses Verfahren ein hervorragender Kompromiss.

Abbildung 1: Die wichtigste Bedrohung, vor der verschlüsselte Dateisysteme wirksam schützen, ist der Diebstahl von Notebooks, PDAs, CDs oder Festplatten. Weitere Bedrohungsszenarien erweisen sich als reichlich unrealistisch.

Datenspione ganz anderer Couleur sind Polizei und Staatsanwaltschaft. Deren juristische Angriffe passen gut zum MIB-Modell. Die Idee: Die Ermittler brechen ein, analysieren die Festplatte und finden 10 GByte verschlüsselter Daten. Sie denken aber, ihr Opfer würde als Hobby Datenmüll sammeln, und gehen unverrichteter Dinge - ein klassisches Rumpelstilzchen-Argument.

Ein schönes Beispiel liefert die Crosscrypt-Webseite (Loop-AES-kompatible Windows-Software). Deren Autor lobt: "Abstreitbarkeit: Niemand erkennt, ob die Daten von Filedisk verschlüsselt wurden, weil die Container-Datei völlig zufällig aussieht und einen beliebigen Dateianhang haben kann" [4]. Dieser Mythos ist vor allem in Newsgroups verbreitet. Die Anwältin des Autors musste sogar laut loslachen, als sie von diesen seltsamen Vorstellungen hörte.

Die Realität funktioniert natürlich anders. Die Justiz denkt nicht in booleschen Werten, sie arbeitet mit allen Schattierungen zwischen wahr und falsch. Gibt es ausreichend Anhaltspunkte, um eine Festplatte zu beschlagnahmen, dann lässt ein Sammlung scheinbaren Datenmülls den Delinquenten schuldig aussehen, egal was er behauptet. Die gleichzeitig vorhandene Verschlüsselungssoftware schwächt die Argumentation des Eigentümers zusätzlich. Wenn er dann darauf besteht, niemand könne ihm nachweisen, dass er Daten verschlüsselt, ärgert er nur den Richter.